1

Enterprise Risk Management

Rischio
Il rischio è definito come una chance, una possibilità di pericolo, di perdita, di ferita o altre conseguenze
avverse. Il concetto di rischio non è oggettivo, ma è strettamente connesso alla percezione degli individui
su cui incombe; percepire significa interpretare un fenomeno per comprendere di cosa si tratti. Un modo
diverso di interpretare l’ambiente circostante, si traduce in una differente percezione del rischio e della
vulnerabilità del soggetto a suddetto evento, e lo stesso discorso vale per le imprese.
Il rischio deriva da una situazione di incertezza e può generare anche un outcome positivo poiché se una
circostanza può essere rischiosa, può analogamente offrire un risvolto positivo o negativo: esso si
manifesterà all’avvenire dell’evento che può determinare una situazione totalmente positiva, totalmente
negativa oppure un mix dei due scenari.
Esistono dei fattori che influenzano la percezione del rischio:
Ø Percived Control – la percezione del rischio diminuisce all’aumentare della percezione di controllo
della situazione (es. viaggio in auto / viaggio in aereo);
Ø Esperienze pregresse;
Ø Preoccupazioni Familiari – la percezione del rischio può essere influenzata da fattori familiari in
senso allargato, vale a dire che alcune scelte (anche di investimento) possono non essere intraprese
per non compromettere la stabilità di tutti gli stakeholder interni ed esterni;
Ø Analitical way of thinking – la percezione del rischio dipende dalla capacità dei singoli individui di
giudicare la probabilità che si verifichi un pericolo, la probabilità di impatti negativi e la gravità di
questi ultimi;
Ø Fiducia – la percezione di rischio varia a seconda dell’attendibilità percepita nella fonte
d’informazione;
Ø Tipo di rischio – il tipo di rischio ne influenza la percezione: alcune persone si aspettano che si
verifichino determinati eventi, rendendoli così prevedibili (es. terremoti in Giappone). Gli individui
si preoccupano più per la percezione dell’impatto (negativo) che per la probabilità che esso si
verifichi.

Esistono tre categorie generiche di rischi:

• Hazard risk – rischio puro, associato esclusivamente a danni potenziali che possono anche
riguardare la salute e la sicurezza dei lavoratori. Si ricorre molto spesso alle assicurazioni per
coprire questa tipologia di fattispecie (es. furto);
• Control risk – associato ad eventi sconosciuti ed inattesi, cosa che lo rende difficilmente
quantificabile in termini di probabilità di manifestazione e di impatto.
• Opportunity risk – rischi che l’azienda decide deliberatamente di accollarsi, essi dipendono dalla
propensione al rischio dell’azienda e dei manager. Riguardano anche quei rischi che l’azienda
sopporta qualora non dovesse sfruttare un’opportunità. È un rischio che generalmente pende sulle
piccole e medie imprese: meno un’impresa è consolidata sul suo mercato di riferimento, più è
sottoposta a questo tipo di rischio.

Architettura del controllo

Una formalizzazione del concetto di governance inizia con lo sviluppo economico e lo sviluppo dei mercati
che riguarda il post Prima guerra mondiale, che si scontrò, a partire dal ’29, con la crisi finanziaria.
Non esiste una definizione univoca che delinea chiaramente il significato di corporate governance, ma essa
si può in sintesi identificare come il metodo attraverso il quale gli agenti delegati dirigono e controllano,
predisponendo controlli interni ed esterni nel rispetto del raggiungimento degli obiettivi prefissati.
 2

Nell’ambito della corporate governance è importante che tre elementi siano strettamente connessi tra
loro:

- Devono essere chiari ed espliciti gli obiettivi che l’impresa intende raggiungere;
- Bisogna conoscere i rischi o gli eventi che possono modificare negativamente la probabilità di
raggiungere gli obiettivi;
- Bisogna fare un’analisi attenta dei controlli o delle protezioni da attuare per tutelarsi dal
manifestarsi dell’evento incerto e rischioso.

La corporate governance deve sintetizzare questi elementi e solo successivamente prendere una serie di
decisioni che riguardano gli attori del controllo e gli strumenti del controllo.
Nel corso del tempo la corporate governance ha subito modificazioni significative a valle degli anni
90’/2000 nella consapevolezza che, la maggior parte degli scandali che si erano verificati, erano dovuti a
delle debolezze nei sistemi di corporate governance e che avessero un impatto fortissimo sulla stabilità
finanziaria e sul grado di fiducia nei mercati finanziari (es. Parmalat, Enron).
Il processo di riforma che riguarda la governance in Italia viene attuato su più profili: da un lato si sono avuti
interventi per la realizzazione del codice di autodisciplina (corporate governance code) e per le riforme del
diritto societario del 2003 per rendere le imprese italiane più attrattive per l’imprenditore straniero,
dall’altro c’è stato un intervento che riguarda l’avvicinamento agli standard dei principi contabili
internazionali.
Il sistema di controllo interno nelle imprese non è un sistema fisso, ma esso deve essere commisurato alle
caratteristiche e necessità dell’impresa ed al modello di business della stessa. Esso deve essere integrato
nella struttura organizzativa, amministrativa e corporate ed i suoi componenti devono essere coordinati ed
interdipendenti, in particolare riferimento ai flussi di comunicazione tra le varie funzioni aziendali o, più
specificamente, tra i vari attori.
I principi di controllo interno si fondando sulla separazione dei ruoli e delle responsabilità, sulla
tracciabilità dei dati e delle informazioni e sull’accountability dei processi che vengono realizzati
all’interno dell’azienda.
La separazione dei ruoli e delle responsabilità ha l’obiettivo di ridurre e prevenire il rischio di frodi o di
errori, garantendo l’indipendenza rispetto a particolari sensibili del business.
L’accountability è una chiara attribuzione interna delle responsabilità in base ai risultati realizzati da
un’organizzazione o da un soggetto o da un gruppo di soggetti che prende le decisioni, e che si compila
sulle loro skills, abilità ed etica. Essa serve in primo luogo per gestire eventuali conflitti all’interno
dell’organizzazione, ma soprattutto per far sì l’analisi dell’andamento aziendale non sia solo top-down, ma
che si avvalga anche di un processo informativo costante bottom-up.
Per quanto riguarda la tracciabilità dei dati e delle informazioni essa ha la funzione di registrare tutto ciò
che accade in azienda per comunicare all’interno o all’esterno informazioni che siano rilevanti per
comprendere l’andamento aziendale.
Un sistema di controllo interno che si fonda su questi tre pilastri è un sistema efficace laddove sia in grado
di semplificare la comprensione degli andamenti aziendali (quindi il grado di raggiungimento degli obiettivi
operativi e strategici), sia in grado di garantire che la divulgazione delle informazioni finanziarie – e non –
siano attendibili e che sia in grado di garantire all’impresa il rispetto di leggi, regolamenti e codici etici.
La valutazione dell’efficacia è soggettiva e riguarda l’adeguatezza del sistema di controllo interno rispetto
agli obiettivi aziendali, essa può essere ostacolata da diversi fattori come, ad esempio, situazioni di alleanze
strategiche oppure dal grado di conflittualità all’interno dell’azienda che generalmente risulta crescente
laddove l’impresa affronti un forte cambiamento.
 3

Normalmente il sistema di controllo interno si suddivide su tre livelli con differenti responsabilità e
strumenti:

֎ Internal Audit (controllo di terzo livello);

֎ Risk Management e Compliance officer (controllo di secondo livello);
֎ Strutture produttive (controllo di primo livello).

I controlli produttivi, detti di primo livello, sono controlli procedurali che vengono predisposti dal
management per presidiare il raggiungimento dei singoli e specifici obiettivi precisi dei singoli individui
coinvolti nel processo operativo, misurandone ex-post l’effettiva capacità operativa.
Il risk management gioca il ruolo di facilitatore rispetto alla discriminazione di logiche basate sulla
valutazione del rischio nell’ambito delle scelte aziendali.
Il controllo di compliance riguarda tutti gli elementi di complessità riguardanti il rispetto delle normative
nazionali, internazionali ed internamente sviluppate dall’azienda ed il suo compito è monitorare il rispetto
di queste ultime, al fine di evitare che rischi di compliance non evolvano in termini di rischio operativo, e
quindi non subire ritorni negativi in termini reputazionali.
I controlli di secondo livello sono tutti indipendenti tra loro ma devono garantire coordinazione ed
interdipendenza.
Il terzo livello di controllo è rappresentato dall’Internal Audit, il quale ha un ruolo di assurance – e cioè di
controllo degli altri organi di controllo – e consulenza, di fatti fa il controllo della bontà degli altri livelli di
controllo, verifica l’andamento dei processi e delle procedure ed il loro funzionamento all’interno
dell’impresa e se occorre cambiare qualcosa; monitora le eventuali debolezze identificate per le quali sono
state suggerite azioni di modifica siano poi effettivamente migliorate; riferisce costantemente al top
management rispetto alla bontà dei sistemi di controllo e segnatamente rispetto al risk management.

Gli attori del controllo vengono definiti dal modello di governance prevalente, il cosiddetto modello
tradizionale, che presenta il board of directors (CDA) che dà le linee guida strategiche, valuta il livello di
rischio accettabile, da direzioni rispetto alla struttura che deve dotarsi il risk management e che è fatto sia
da direttori esecutivi che da direttori non esecutivi. Il codice di autodisciplina delle società quotate
suggerisce la presenza di alcune commissioni nel CDA, poiché esistono delle problematiche per le quali si
ritiene opportuno che le decisioni non vengano prese dall’intero consiglio, ma solo ratificate da
quest’ultimo su suggerimento delle singole commissioni che sono costituite per lo più da amministratori
indipendenti; le commissioni esplicitamente suggerite dal codice sono: il comitato controllo e rischi, la
commissione remunerazione e nomine e così via.
In Italia vige il principio comply or explain il quale sancisce che, pur non essendoci l’obbligo da parte delle
società quotate a costituire le commissioni suggerite, devono comunque fornire, in sede di bilancio, le
eventuali motivazioni dal discostamento rispetto a quanto indicato dal codice di autodisciplina.
Il collegio sindacale ha visto progressivamente aumentare le sue funzioni rispetto alle società quotate con
le varie riforme del diritto societario, esso ha un potere pervasivo di ispezione e controllo, ha obblighi di
segnalazione anche alle autorità laddove vi sia una decodificazione di situazioni rischiose o fraudolente
all’interno della società e, laddove venga meno a questi obblighi, è perseguibile penalmente.
Un altro soggetto deputato a controllare la bontà del sistema di controllo interno è il revisore esterno.
Gli altri soggetti internamente deputati sono l’internal auditor, il risk manager ed il compliance manager. Le
caratteristiche che accomunano questi attori sono l’indipendenza, l’accesso libero alle informazioni e i flussi
di comunicazione sia rispetto al top management al quale riferiscono sia rispetto alle altre funzioni
aziendali.
L’organismo di vigilanza in Italia subentra in seguito al decreto legislativo 231/2001 che sancisce la
responsabilità penale degli enti per i reati commessi dai propri dipendenti nell’esercizio delle proprie
funzioni. Da cui nacque l’esigenza delle imprese di tutelarsi dotandosi di un modello di organizzazione,
gestione e controllo che sia in grado di accertare che l’impresa aveva posto in essere i processi e le
 4

procedure necessarie a prevenire la commissione dei reati attraverso un organismo di vigilanza che ha
l’obiettivo di vigilare sull’osservanza del modello di organizzazione, gestione e controllo.

Funzione Internal Audit

È una funzione di controllo correlata che ha in comune aspetti con la revisione esterna.
Rispetto all’internal audit si è manifestata un’attenzione crescente a partire dagli anni 2000 in poi, essa è
una funzione che nelle aziende più grandi è internalizzata, i cui obiettivi e funzioni variano a seconda delle
caratteristiche del business considerato, ma, tradizionalmente, ricomprendono il controllo di tutte le
transazioni in area economico-finanziaria. L’internal audit osserva queste operazioni nella prevenzione di
frodi, reati o al perpetrarsi di errori, non soltanto per quanto riguarda l’aspetto della redazione del bilancio,
ma anche per quanto riguarda la realizzazione dei processi, assolvendo ad un ruolo di controllo dei controlli
di primo e secondo livello, assicurandosi quindi che questi siano efficaci ed efficienti.
La prima caratteristica è quella dell’indipendenza nella valutazione delle attività dell’organizzazione,
aspetto fondamentale perché l’internal audit ha a che fare non solo la parte economico-finanziaria
dell’impresa, ma anche quella operativa e deve valutare in che modo tutti i processi vengono attuati per
comprendere se esistono problematiche che impedirebbero il raggiungimento degli obiettivi prefissati in
sede di pianificazione strategica.
Gli obiettivi dell’internal audit si ampliano e si restringono anche a seconda del ruolo che all’interno
dell’azienda gli si vuole attribuire, ovviamente nella misura in cui farà assurance dei controlli, dovrà anche
analizzare i sistemi di controllo presenti in azienda e, nell’eventualità, suggerire le modifiche migliorative e
le modalità attraverso le quali si possono apportare queste modifiche per far sì che i controlli avvengano in
modo efficace ed efficiente. Nel momento in cui si riconoscono inefficienze all’interno dei controlli,
l’internal audit non solo suggerisce i cambiamenti ma si occupa di verificare che questi vengano realizzati, e
quindi si occupa di monitorare il livello di adeguamento rispetto alle raccomandazioni, nell’ottica di
garantire che i flussi informativi in azienda siano curati, caratterizzati da affidabilità e che siano in grado di
garantire non solo che l’azienda, sotto il profilo economico-finanziario, produca un’informativa utile per gli
investitori esterni, ma anche che il processo che conduce a quell’informativa sia trasparente e privo di frodi
o omissioni. Nel suo ruolo di assurance non solo interviene rispetto ad un piano stabilito, ma può anche
intervenire su tematiche specifiche su richiesta del top management, o su richiesta di controlli di primo e
secondo livello, che avrebbero bisogno di consulenza e supporto su tematiche importanti per le quali
l’internal audit può svolgere un importante ruolo di supporto. Questo non soltanto nell’ottica che il sistema
di controllo interno contenga errori o omissioni, ma anche nell’ottica anche del fatto che i cambiamenti del
mercato sono estremamente veloci e può capitare che, nonostante l’adeguatezza iniziale di un sistema di
controllo interno, il cambiamento di alcune politiche in qualche area particolare dell’azienda legato ad
opportunità di investimento o di effettuare operazioni di cambiamento aziendale, possono andare ad
intaccare il sistema di controllo interno, e l’internal audit ha il ruolo di identificare il problema e
comunicarlo al top management, concertando con questi un eventuale soluzione.
Per la parte economico-finanziaria assume un ruolo essenziale di concerto con il revisore esterno per le
caratteristiche dell’informazione finanziaria che viene divulgata all’esterno. Da un lato l’internal audit
verifica periodicamente che le operazioni in senso stretto avvengano in maniera efficace ed efficiente, e
questo comporta che vada ad assicurarsi la separazione dei ruoli e delle responsabilità, che i flussi di
accountability siano efficaci e che tutte le transazioni siano riproducibili e trasparenti. Dall’altro l’internal
audit, di concerto con la compliance, va a verificare che le misure ratificate garantiscano il rispetto di leggi,
regolamenti, di fonti autogenerate di regolamentazione, indagando quelle aree più problematiche per loro
natura intrinseca al fine di evitare la commissione di frodi (es. azienda che opera in ambito pubblico e
quindi sulla base di appalti, questa potrebbe essere un’area particolarmente pericolosa per l’internal audit
che andrà a presidiare tutte le attività che concernono la presentazione della domanda perché potrebbe
rappresentare una sospetta area di frode all’interno dell’azienda).
 5

L’indipendenza dell’internal audit è da interpretare in una duplice maniera, non solo deve segnalare
eventuali mancanza sulle linee gerarchiche sottostanti e a valutare l’operato dei manager, per contro,
poiché non può garantire la trasparenza dell’autovalutazione, colui che è a capo della funzione di internal
audit non può ricoprire cariche specifiche, nell’ambito di consiglio di amministrazione o nell’ambito delle
funzioni di controllo di secondo livello poiché questo non garantirebbe la separazione dei ruoli e delle
responsabilità.
Deve garantire che le proprie risorse siano adeguate sia in termini numerici, sia in termini di educazione
rispetto alle esigenze di una funzione, ed infatti, un errore prolungato, è stato quello che l’internal audit era
monotematico, oggi invece si punta sull’ibridazione del gruppo, ossia un team multidisciplinare al fine di
garantire che possa instaurare un dialogo consapevole all’interno dell’organizzazione.
Il tema relazionale si collega all’esigenza di dialogo: per quanto l’internal audit possa assumere un ruolo
partecipativo costruendo una relazione costruttiva con le altre funzioni aziendali, è anche vero che è
importante che la funzione sia legittimata dal top management a farlo, il quale ha il compito di costruire
una cultura aziendale del controllo che possa far capire che l’internal audit è uno stakeholder
fondamentale all’interno dell’azienda per garantire l’efficacia e l’efficienza, quindi non solo il
raggiungimento degli obiettivi aziendali ampi, ma che sia intesa dai singoli soggetti come uno strumento
per migliorare le proprie performance ed il raggiungimento dei propri obiettivi personali.
L’internal audit deve operare con “due care”, e cioè con diligenza professionale.
Deve avvalersi di un piano di controllo: deve cioè pianificare ogni anno le azioni da intraprendere e
condividere questo piano con le funzioni aziendali interessate e con il top management.
Una relazione importantissima è quella tra internal audit ed external audit (revisione esterna): ambedue i
soggetti hanno a che fare col sistema di controllo interno sebbene le finalità siano diverse. Il revisore deve
dare un giudizio sulla rappresentazione veritiera e corretta in bilancio, l’internal audit deve assicurare che il
sistema di controllo interno sia efficace ed efficiente, che le normative siano rispettate e che la società sia
dotata di un servizio di controllo che aiuterà il raggiungimento degli obiettivi e non andrà a detrimento di
questi. Questi due soggetti monitorano l’efficacia del sistema di controllo interno, il che è essenziale per
prevenire con largo anticipo la commissione di frodi ed errori, all’internal audit serve per riconoscere le red
flag e quindi suggerire i miglioramenti del sistema di controllo interno, all’external audit serve sapere se il
controllo interno è inefficace perché questo le aiuta a definire le caratteristiche del suo piano di lavoro, e
quindi essenzialmente quanti controlli di conformità e quanti controlli di validità attuare nell’ambito del
proprio piano di lavoro.
L’incarico dell’internal audit e della società di revisione è differente, perché l’internal audit è nominato dal
management, l’external audit viene invece nominato dall’assemblea. Gli obiettivi sono differenti in quanto
l’internal audit ha un obiettivo di tipo processuale interno, mentre la società di revisione valuta il controllo
interno come mero strumento per fare affidamento o meno nel compimento del suo obiettivo, dare un
giudizio sul bilancio. Anche le responsabilità sono diverse, mentre l’internal audit si interfaccia col top
management ed è responsabile nei suoi confronti, l’external audit è responsabile rispetto agli azionisti, agli
investitori e più precisamente a tutti gli stakeholder.

Il processo di Internal Auditing

All’inizio di ogni anno l’internal audit si costituisce e recupera una serie di informazioni e documentazioni
che sono necessarie per stabilire un piano di auditing. Una volta realizzato il piano e presentato al top
management, anche tenendo conto delle esigenze che quest’ultimo ha espresso, si fa una ripartizione di
compiti e responsabilità, si determinano le tempistiche, la sequenza delle operazioni, si organizzano
riunioni periodiche circa le problematiche che possono emergere, quindi si riesaminano le documentazioni
e vengono concordate delle linee guida di azione, ed alla fine si concretizza in un documento che verrà
consegnato sia al top management sia alle funzioni interessate all’interno del quale saranno presenti tutti i
correttivi e le azioni da intraprendere che sono soggette a follow up periodici.
 6

L’internal audit è una funzione costosa, rischiosa, altamente complessa in termini relazionali e rischia di
diventare un controllo dei risultati piuttosto un controllo della bontà dei processi, degradandosi a controllo
di secondo livello.

Funzione compliance
La funzione compliance è quella deputata al presidio del rispetto delle leggi, regolamenti, standard, codici
etici, essa fu introdotta a partire dal settore bancario poiché fu necessario implementare un set di controlli
realizzato ad hoc per monitorare che le banche non subissero dei rischi derivanti dal non rispetto di
normative imperative.
Questa tipologia di rischio è trasversale a tutta l’organizzazione perché riguarda ogni singola operazione ed
attività, non solo operative ma anche attività strategiche; è inoltre una funzione in continua evoluzione
perché si deve adeguare al cambiamento dei processi organizzativi, all’introduzione di innovazioni
all’interno dell’azienda ed ai cambiamenti che riguardano i framework regolamentari.
Il rischio di compliance si può intendere sia nell’accezione di rischio legale, sia di rischio reputazionale, e
quindi agisce sull’impresa sia in maniera diretta, per via di sanzioni ove questa non rispetti leggi o
regolamenti, sia in modo indiretto perché sopportare quella sanzione ne genera un’altra intangibile di tipo
reputazionale che si manifesta indirettamente (es. Nike sfruttava il lavoro minorile).
La funzione compliance va, da un lato, ad identificare una serie di azioni che possono prevenire la
commissione di azioni che vanno contro a leggi e regolamenti, dall’altro, cerca di contribuire alla creazione
di una cultura del controllo improntata a principi di integrità e di etica e, soprattutto, deve assicurarsi che
per i singoli processi aziendali la compliance non sia solo formale, ma sia sostanziale, e cioè che le attività
vengano poste in essere sostanzialmente rispettando le richieste della normativa.
Essa fa parte dei controlli di secondo livello insieme al risk management e identifica i ruoli e le
responsabilità: deve essere necessariamente nominato un manager, il cheif compliance officer, e si baserà
su un piano che viene deliberato e realizzato durante la vita dell’impresa.
Come per l’internal audit, la funzione compliance deve essere totalmente indipendente: il cheif compliance
officer non può avere responsabilità operative in altre funzioni, non può essere gerarchicamente
dipendente rispetto a responsabili di aree che deve controllare e deve costruire un dialogo diretto e non
mediato con tutte le funzioni con le quali si dovrà interfacciare.
Deve garantire che le proprie risorse siano adeguate sia in termini numerici, sia in termini di professionalità
specifiche al suo interno che siano in grado di interpretare il contesto normativo non solo sotto l’aspetto
giuridico, ma valutare anche i riflessi operativi e strategici delle scelte prese.
Deve poter aver libero accesso alle informazioni e dev’essere una funzione che viene legittimata dal top
management.
La funzione identifica tutte le normative riferibili ai singoli casi valutando quale sarebbe l’impatto del non
rispettare queste indicazioni; può suggerire eventuali modifiche delle procedure informative, prepara flussi
informativi che vengono diretti sia alle funzioni interessate, sia al management, va a monitorare
costantemente che i correttivi suggeriti siano efficacemente posti in essere ed infine, laddove si stia
valutando l’opportunità di un nuovo investimento o l’innovazione di processo viene interpellata come una
funzione consulenziale per segnalare eventuali problematiche che potrebbero emergere.
Molte volte esiste un problema di proporzionalità, e cioè si assiste alla presenza di una funzione compliance
che viene garantita dalle grandi imprese solo per compliance formale: una compliance sottodimensionata
rispetto all’impresa sicuramente non potrà svolgere e adempiere al meglio i suoi ruoli.
Il processo di compliance parte da un’analisi dell’attività operative dell’impresa al fine di identificare,
valutare e monitorare quali sono le esigenze di compliance, ossia le esigenze che derivano dagli interventi
normativi e regolamentari; a quel punto si individuano le red flag, cioè quelle aree che possono presentarsi
maggiormente problematiche in termini di mancato rispetto della normativa e quindi di verificazione del
rischio di compliance; si realizzano eventuali suggerimenti di correzioni per mitigare il rischio di compliance.
Durante tutto il processo si valuta anche la bontà del compliance risk management process, cioè la funzione
 7

deve interrogarsi sulla bontà del suo operato cercando di comprendere se esistono problematiche che
devono essere risolte per migliorare la prevenzione del rischio di compliance.
I costi che si sostengono da parte dell’impresa per integrare una funzione di compliance sono, oltre ai costi
dello staff, quelli che bisogna sostenere per diffondere la consapevolezza di una funzione compliance e
della sua importanza. Viceversa, i costi che si sostengono optando per non dotarsi di una funzione di
compliance sono generalmente le sanzioni, eventuali cambiamenti contrattuali o risoluzioni
extracontrattuali, i costi che l’impresa deve sopportare per risolvere dispute ed evitare sanzioni, la
conseguente diminuzione dei ricavi derivanti da una perdita di reputazione e la diminuzione di una
capitalizzazione di mercato e tutti quei costi collegati all’aumento di obblighi che derivano dagli
inadempimenti normativi (es. aumenta il costo del capitale perché si ingenera un meccanismo
sanzionatorio preventivo e di tutela).

Management accounting evolution

Agli esordi il controllo di gestione nasceva come esigenza quantitativa, la sua funzione era quella di
controllare la quantità di scostamento strategico ma, con l’evolversi del quadro sociale, si è andati incontro
ad esigenze anche di tipo qualitativo in specifico riferimento agli intangible e intellectual assets, integrando
quindi le logiche del rischio e della gestione del rischio.
A partire degli anni ‘90 ci si rende sempre più conto che la gestione aziendale nei casi di fallimento, di
processi di cambiamento o di scelte di investimento presenta una forma di debolezza laddove ci sia
mancanza di comunicazione tra le varie funzioni, in particolare tra la funzione controllo di gestione e quella
parte del management che si occupa della valutazione della gestione del rischio: si inizia a comprendere
che il performance manager ed il risk manager non sono due figure alternative, ma complementari. Può ad
esempio capitare che nell’ambito di un processo decisionale la consulenza del risk management non
necessariamente sia indirizzata nella direzione in cui il top management chiamato a prendere quella
decisione vorrebbe. La necessità di una visione olistica nelle scelte è essenzialmente determinata dal fatto
che ci troviamo in un mondo definito V.U.C.A. (volatile, incerto, complesso, ambiguo) dal quale, tra le altre
cose, nasce anche l’esigenza di differenziare il proprio modello di business.
Il mondo dell’accounting control cambia in quanto si deve ricercare un avvicinamento tra funzioni
originariamente concepite come separate, integrando conoscenze ibride (es. una funzione di controllo che
si interfaccia con una struttura ospedaliera potrebbe incontrare delle frizioni rispetto alle logiche legate alla
professione clinica in senso stretto: da un lato si ha la necessità di tutelare la salute del paziente come
obiettivo primario, dall’altro occorre che tutte le attività vengano svolte con la massima efficienza).
Il management accounting viene definito dall’istituto di management accounting come “un processo in
continuo miglioramento a valore aggiunto che è legato al disegno ed alla pianificazione sia dei sistemi
informativi non finanziari, che dei sistemi informativi finanziari che guida il management nelle sue azioni, ne
motiva i comportamenti, supporta e crea il valore necessario a raggiungere gli obiettivi aziendali sia di
breve che di lungo periodo”.
Da ciò si evince che il management accounting non ha uno scopo meramente quantitativo, ma ha il
fondamentale compito di processare dati intangibili e non oggettivamente identificabili e misurabili.
Adesso il management accounting deve tenere necessariamente conto di fattori endogeni ed esogeni, ha
un orientamento di lungo termine e deve avere una propensione di controllo concomitante rispetto alle
esigenze dell’azienda.
Esso si deve poggiare su quattro pilastri che servono a generare il processo di creazione del valore:

§ Influence – la comunicazione realizzata all’interno dell’impresa deve essere un driver per le

decisioni strategiche ed esecutive a tutti i livelli dell’impresa;
§ Relevance – l’informazione deve essere rilevante e tempestivamente comunicata;
§ Trust – lavorare su relazioni e risorse soprattutto per tutto quello che concerne ambiti non
quantitativi come ad esempio gli aspetti reputazionali;
 8

§ Analysis – prontezza nell’analizzare scenari alternativi per reagire in modo proattivo tenendo conto
del rischio e della possibile creazione di valore per l’impresa.

Il comitato suggerisce una serie di linee guida al fine di far produrre informazioni in grado di supportare il
processo decisionale, la comunicazione dev’essere realizzata su misura rispetto alle esigenze dell’impresa.

Enterprise Risk Management

Il risk management è un sistematico approccio per identificare e comprendere i rischi al fine di guidare il
management nelle decisioni ed azioni, deve cioè mettere in grado i soggetti decisori ad ogni livello nella
condizione di massima creazione del valore e deve essere sviluppato in una logica sia top-down che
bottom-up, è cioè un processo trasversale che attraversa tutti gli ambiti aziendali e cerca di metterli in
comunicazione attraverso flussi informativi efficaci ed efficienti.
Il primo passo nella gestione del rischio è minimizzare i possibili danni che possono derivare
dall’accadimento di un evento avverso implementando strategie o strumenti di controllo per evitare o
limitare l’impatto delle eventuali conseguenze negative. Non tutto è controllabile al 100%, quindi non
bisogna solo prevenire il rischio, ma bisogna pensare anche strategie o soluzioni alternative per gestire una
situazione più severa rispetto a quanto pianificato: questo non significa eliminare il rischio, ma gestirlo.
Il processo di risk management è fatto di fasi e, come tutti gli strumenti di controllo, ha una triplice natura:
controllo antecedente, controllo concomitante (monitoraggio) e controllo susseguente. Attraverso queste
fasi si riesce a:

v Determinare gli obiettivi aziendali attraverso l’individuazione dei sub-obiettivi ed eventuale

riformulazione di questi ultimi;
v Identificare i rischi potenziali che potrebbero impattare sugli obiettivi;
v Quantificare le esposizioni ai rischi, valutando la probabilità di verificazione degli eventi;
v Valutare l’impatto dei rischi;
v Esaminare gli strumenti a disposizione del risk management;
v Selezionare un appropriato approccio di risk management per gestire il rischio;
v Implementare il programma e monitorarlo costantemente per verificare che esso sia sempre
coerente con gli obiettivi, con i nuovi strumenti emergenti, con le nuove tecnologie, con le nuove
opportunità e i nuovi rischi che si prospettano.

Il risk manager deve avere necessariamente una capacità di interpretare i fenomeni aziendali che
riguardano le specificità dell’impresa che controlla, ed è necessario che non sia avulso dalle logiche di
quest’ultima. È una funzione che si amplia e si restringe a seconda dell’idea fondante del top management
e delle esigenze identificate; essa raccoglie la prospettiva finanziaria ed operativa in quanto in questi ambiti
esistono degli elementi intangibili da individuare e valutare, con specifico riferimento alla valutazione delle
interdipendenze tra le funzioni, permettendo così di intervenire dove vi è difficoltà di attribuzione di
responsabilità e quindi permettere l’individuazione del locus dove il valore aziendale si distrugge.
Altri possibili obiettivi dell’enterprise risk management sono:

Ø Creare ed aumentare il valore aziendale;

Ø Assicurare la continuità aziendale;
Ø Stabilizzare gli utili;
Ø Segnalare opportunità, nuove occasioni di business e modalità differenti per raggiungere
determinati obiettivi.

La funzione nasce a partire dagli anni ‘90 in quanto ci si rende conto che è necessario comprendere le
dinamiche di rischio in azienda in maniera integrata e globale. Anche precedentemente vi era un’attitudine
all’osservazione e alla valutazione dei rischi, ma era una gestione del rischio detta “silo based”, ossia la
gestione dei rischi avveniva in maniera separata. Durante gli anni 2000 ci sono una serie di eventi, sia dal
 9

piano geopolitico, sia dal piano strettamente aziendale che fanno cambiare l’approccio delle società al risk
management: la sua importanza tende a crescere nel tempo anche perché i codici di corporate governance
iniziano ad individuare le falle nella governance delle grandi società attraverso diversi casi di scandalo che si
sono susseguiti. Oggi il risk management è ritenuto fondamentale, ormai tutte le quotate ritengono che sia
opportuno dotarsi di questa funzione. È parere consolidato che il risk management in quanto organo di
controllo debba salire al piano gerarchico del top management perché serve un approccio olistico rispetto
alla gestione del rischio, inoltre si è consapevoli che la funzione aumenta la probabilità di accrescere il
capitale sociale, non soltanto nella sua accezione finanziaria, ma soprattutto nella sua accezione operativa,
relazionale ed intellettuale dell’impresa.
I rischi oggi sono più numerosi, in generale:

֎ Rischi operativi – quelli che riguardano i danni da un profilo operativo e fisico;

֎ Rischi legali – rischi di compliance;
֎ Rischi strategici – capacità di approvvigionarsi di capitali e le scelte necessarie per l’allocazione degli
investimenti;
֎ Rischi finanziari;
֎ Rischi tecnologici;
֎ Rischi sul capitale umano – alla capacità di trattenerlo e formarlo;
֎ Rischi legati agli stakeholder e le loro esigenze;
֎ Rischi reputazionali.

Quando si parla di enterprise risk management, bisogna considerare tutti i problemi di implementazione ed
occorre che un garante (champion) in azienda stabilisca un dialogo sia a livello esecutivo sia tra i
responsabili delle funzioni.
Le componenti del processo di enterprise risk management sono:

§ Determinazione obiettivi strategici aziendali e identificazione dei relativi rischi – la capacità di

essere omnicomprensivi ed individuare ciascun rischio anche la misurazione della probabilità di
verificazione, dell’impatto e dell’eventuale ampiezza delle perdite;
§ Valutazione dell’impatto – analisi di scenari e ove necessario fa ricorso a simulazioni stocastiche;
§ Valutazione dell’eventuale trasferimento dei rischi, l’attuazione di strategie di headging o di
diversificazione o se integrare i rischi all’interno delle logiche aziendali – questi processi non hanno
luogo solo a livello di top management, ma occorre che le informazioni filtrino all’interno della
struttura organizzativa, serve quindi una cultura diffusa, devono esserci consueti strumenti di
accountability, una definizione chiara delle responsabilità per le interdipendenze focali che fanno
sorgere necessità di presidio e occorre che ci sia un flusso di informazioni costante sia top down
che bottom up per assicurare tempestività ed attendibilità.

L’enterprise risk management cerca di evitare “un fallimento di immaginazione”: non è detto che poiché
qualcosa non è intellegibile allora non può impattare su un fallimento aziendale, spesso le motivazioni dei
fallimenti riguardano qualcosa che si sarebbe potuta immaginare.
L’enterprise risk management è un sistema complesso, che ha bisogno di un approccio di tipo bottom up e
che non sia basato su personalità univoche, ma che si avvalga di personale ibrido e che sia in grado di
interpretare i diversi processi soprattutto per mettere in luce eventuali problematiche di tipo organizzativo
eventuali incoerenze nella gestione.
Il processo di enterprise risk management è un processo dinamico nel tempo, i modelli si devono adeguare
velocemente così come si modificano i contesti nei quali operano.
Alcune problematiche potrebbero dipendere dal fattore comportamentale perché ci potrebbero essere
errori di relazione, si possono cioè verificare comportamenti di cecità: se per esigenze circostanziali la
funzione si concentra su alcune aree rispetto che su altre, quelle su cui non si concentra diventano aree di
 10

interesse disattese facendo esacerbare moltissime condizioni di rischio, infine possono esserci problemi
legati alle influenze o alle cattive stime che possono essere fatte rispetto alla funzione.

Risk assessment, risk appetite, risk tolerance

Quando si parla di risk appetite e risk tolerance si fa riferimento ad uno sforzo dialogico da parte
dell’impresa per comprendere e comunicare, sia all’interno che all’esterno, la sua generale attitudine al
rischio. Per operare qualunque tipologia di scelta strategica tenendo conto del rischio, l’azienda deve
definire la sua risk appetite: cioè la misura della totale esposizione al rischio che un’organizzazione decide
di assumere sulla base del trade-off rischi-ritorni sugli investimenti, sia per un solo progetto che per più
progetti o aggregazioni di investimento. Essa è intrinsecamente legata ai ritorni economico-finanziari attesi
dagli investimenti, ed ha un parametro quantitativo di riferimento ma molte volte soprattutto per alcune
tipologie di investimento può essere espressa in termini qualitativi (es. ricerca e sviluppo). Può essere
espressa come quella parte di rischio che un’organizzazione pensa di poter gestire per raggiungere gli
obiettivi strategici ed operativi.
La risk tolerance è strettamente collegata al risk appetite: essa è il livello massimo di incertezza che
un’organizzazione è preparata a gestire ed è la massima varianza sopportabile. Mentre la risk appetite si
estrinseca in un unico statement, la risk tolerance individua un intervallo di valori all’interno dei quali
l’azienda è disposta a tollerare quel rischio.
Delle definizioni di risk appetite e di risk tolerance vengono fornite sia dall’ISO Guide Lines che dal COSO.

ISO Guide Lines

Ø Risk appetite – ammontare e tipologie di rischio che un’organizzazione è disposta a sopportare o

trattenere;
Ø Risk tolerance – il grado di preparazione dell’organizzazione o degli stakeholder a sopportare i
rischi dopo che questi siano stati gestiti per il raggiungimento degli obiettivi.

COSO

Ø Risk appetite – ampia base di descrizioni del livello desiderato di rischio che l’impresa è disposta a
sopportare nel raggiungimento della sua mission;
Ø Risk tolerance – riflette la variazione accettabile degli outcome legati a specifiche misure di
performance e correlati agli obiettivi che l’impresa vuole raggiungere.

La risk appetite e la risk tolerance sono delle azioni di bilanciamento che l’azienda comunica, e sono
influenzate dalla natura dell’organizzazione e dalle caratteristiche del settore o del mercato in cui
l’organizzazione opera. Esistono aziende che hanno una più accentuata propensione al rischio e quindi,
essendo interessate all’incremento potenziale di capitale, sono disponibili ad accettare un grado maggiore
di rischio alla ricerca di risultati economici migliori (es. start-up innovative), al contrario esistono imprese
con una minore propensione al rischio che mirano ad una stabilizzazione degli earnings e per costoro ci sarà
una risk tolerance più ridotta (un range di variabilità tollerabile minore).
Unitamente alla risk appetite e la risk tolerance si devono considerare i limiti di rischio: siamo nell’alveo
delle scelte strategiche che riguardano gli expected outcome dell’impresa e, per valutare se l’impatto che
avrebbe una nuova opportunità (o un cambiamento a livello organizzativo) rientrerebbe nei parametri
individuati di risk appetite e risk tolerance, sarà necessario prevedere dei limiti di rischio per tutte le singole
funzioni aziendali la cui attività inerirà al raggiungimento dell’obiettivo. La risk tolerance si focalizza sugli
output di business, i limiti di rischio forniscono una limitazione sugli input.
La risk appetite si sostanzia in una dichiarazione (risk appetite statement) al fine di condividere ai vari livelli
manageriali qual è la propensione di rischio che l’impresa decide di sopportare per il raggiungimento dei
suoi obiettivi. Essa include sia misure quantitative che misure qualitative, può richiamare indicatori specifici
 11

legati a rischi specifici e può richiamare diverse aree di interesse (area economica finanziaria, area
anticorruzione, area condotta ed etica dell’impresa). La definizione della risk appetite è il risultato di un
processo che avviene a livello di top management (Board unitamente al Cheif Risk Officer), essi possono
considerare con un bilanciamento diverso questioni che riguardano il raggiungimento della performance
target nelle key areas definita in sede di pianificazione (la conservazione del capitale, la conservazione della
liquidità etc.). È necessario che la risk appetite venga definita non solo per una singola unità di interesse ma
per l’impresa in generale, e bisogna che venga tradotto e comunicato ogni aspetto trasversalmente
all’interno dell’organizzazione, di modo che quella logica prudenziale vada a permeare tutti i livelli
manageriali del processo decisionale. La risk appetite deve essere riferita in primis agli obiettivi, in seconda
istanza alle operations: se questa comunicazione avviene nella maniera corretta, deve filtrare i
ragionamenti che a valle della risk appetite definiscono la risk tolerance (per la quale valgono tutti gli
aspetti di condivisione e sistematicità del processo).
Rispetto alla risk appetite esiste il problema di definire la risk tolerance e per farlo bisogna definire un set di
variabili strategiche da presidiare ed è rispetto a queste che si identificano gli indicatori di range
sopportabili (es. profitto, grado di solvibilità etc.). Bisogna prima capire qual è il risultato per soddisfare
l’obiettivo atteso (es. crescita EBITDA dell’8% e crescita solvibilità del 150%); definita la prospettiva
ottimistica si deve valutare qual è il livello di outcome tollerabile (es. crescita EBITDA dello 0% e crescita
della solvibilità del 120%); poi bisogna considerare quanto a lungo si può tollerare l’outcome minimo (es.
crescita EBITDA dello 0% e crescita della solvibilità del 120% è tollerabile una volta su dieci anni).
Una volta definiti gli outcome minimi e massimi tollerabili si devono identificare le tipologie di rischio che
devono essere in qualche modo misurabili e vincolanti.
Per arrivare dalla risk tolerance ai limiti del rischio si parte dai limiti fissati dalla tolleranza e, a ritroso, si
fissano una serie di limitazioni coerenti con l’obiettivo prefissato derivati attraverso modelli di natura
matematico-statistica (es. modelli deterministici, modelli stocastici, modelli caotici, modelli causali, modelli
di social network analysis etc.). Non bisogna dimenticare che esistono dei processi per i quali il ruolo del
rischio è molto pervasivo, altri per i quali il rischio è soltanto in parte pervasivo e altri ancora per i quali il
rischio è limitato. Il processo più rischioso in azienda è quello mediante il quale si definisce il massimo
grado di rischio tollerabile per il raggiungimento degli obiettivi, immediatamente successivo è il grado di
rischio che si addensa sul processo di definizione della risk tolerance e via via quello che va ad impattare sui
risk limits (stress test, gestione del capitale, scelte di governance e di mitigazione etc.).
Per realizzare una risk enabled organization occorre determinare quali sono le incertezze chiave relative sia
al business sia ai risultati attesi, quali sono le opportunità di crescita o le minacce di distruzione di valore,
quali sono le aree nelle quali filtra maggiormente l’incertezza e come calibrare e quantificare l’esposizione
al rischio per una certa tipologia di business. Il monitoraggio dei risk limits è necessario che si appoggi su un
framework di governance focalizzato nella direzione di consolidare il risk appetite framework: il CDA deve
essere consultato velocemente e deve essere costantemente aggiornato dal risk manager sull’adeguatezza
e sulla persistenza dell’adeguatezza del Risk Appetite Statement e sull’adeguatezza della risk tolerance, ma
soprattutto deve esserci un flusso comunicativo legittimato tra i risk owners di processo e chi è deputato
alla verificazione del rispetto dei risk limits e a ritroso della risk tolerance.

ISO3100 Risk Management Guidelines

L’ISO3100 è uno standard internazionale del 2009, revisionato nel 2018, che cerca di fornire una serie di
linee guida per formare un efficace risk management. Nonostante già esistesse un modello ERM già
formalizzato, l’ISO chiarisce che il bisogno a cui voleva rispondere, con un tentativo di standardizzazione,
era legato ad una serie di problematiche relative all’approccio al risk management il quale non rispecchiava
il legame con la visione strategica aziendale.
Può essere applicato ad ogni tipologia di rischio ed organizzazione e vuole dare delle basi per approcciare in
maniera critica al processo di risk management.
 12

L’approccio dell’ISO è generico, non c’è alcun tipo di declinazione specifica per settore, è uno standard
unico nel suo genere perché fornisce delle fondamenta teoriche alle gestione del rischio e non una “to do
list”, ed è per questa ragione che questo standard non fornisce la possibilità di ricevere una certificazione.
Esso include:

ü La definizione ed i termini rilevanti di risk management richiamando un altro standard;

ü Un set di principi che servono ad orientare l’azione del risk management;
ü Alcune raccomandazioni sul risk management framework (le fondamenta teoriche e concettuali
rispetto alle quali modellare la funzione di risk management);
ü Raccomandazioni sull’implementazione del risk management come processo.

Non ci sono:

o Istruzioni o specificazioni dettagliate su tipologie di rischi particolari (punto oggetto di forti

critiche);
o Suggerimenti per settori specifici (quelli che possono essere soggetti a problemi sul piano della
salute, sul piano ambientale etc.);
o Lista di parametri da rispettare per ottenere delle certificazioni.
Gli standard collegati sono:

v Risk management voucabulary;

v Giudance to implementation for ISO3100;
v Risk management assessment techniques (le modalità per valutare l’adeguatezza del processo di
risk management).

L’ISO critica il COSO Framework in quanto, nel 2009, sebbene fosse un modello avanzato non faceva
evincere chiaramente che il risk management deve sempre essere orientato alla visione strategica
dell’impresa.
L’ISO intende i rischi in senso generico e questo per alcune associazioni viene ritenuto un limite perché si
ritiene che, ad esempio, i rischi legati alla sicurezza dei lavoratori non dovrebbero essere intesi dal risk
management come rischi da gestire, perché qualunque tipologia di rischio che riguarda la sicurezza o la
salute dei dipendenti deve essere ritenuto non accettabile e quindi escluso a prescindere.
Le novità rilevanti dell’ISO31000 sono:

§ Nozione di risk appetite;

§ Definizione di rischio – è l’effetto di una deviazione da quello che si attende l’impresa, non
necessariamente è negativo o positivo e quindi i rischi vanno gestiti;
§ Risk management framework – si esplicita che le imprese devono avere un framework che guidi le
azioni del management;
§ Definizione filosofia gestionale – ossia una filosofia aziendale secondo la quale il risk management
è un aspetto inseparabile rispetto a tutte le questioni che riguardano il cambiamento organizzativo.
 13

Prima dell’ISO31000 il rischio veniva rappresentato come una combinazione tra probabilità ed impatto
delle conseguenze ed estensione delle conseguenze di un evento avverso. Generalmente queste valutazioni
venivano supportate dalla seguente matrice:

Nella nuova definizione di rischio vi è il superamento della logica prettamente quantitativa in quanto il
rischio viene definito come l’effetto dell’incertezza, e quindi della deviazione, che soffre un’organizzazione
nel raggiungimento dei suoi obiettivi. La gestione dei rischi è un processo che serve a contenere ed
anticipare i potenziali deviazioni dirompenti al fine di attuare una serie di azioni correttive in modo tale che
l’organizzazione raggiunga i suoi obiettivi nonostante le eventuali perturbazioni che possono provenire
dall’interno o dall’esterno.
Questo conduce alla definizione di risk appetite, ossia l’ammontare totale e la tipologia di rischi che
un’impresa è disposta a gestire per il raggiungimento dei suoi obiettivi. La risk appetite deve
opportunamente filtrare trasversalmente nell’impresa attraverso il risk appetite statement.
Cambia quindi la rappresentazione della matrice: non si parla più in termini quantitativi della probabilità
dell’evento e delle conseguenze dell’impatto, ma, in base a determinati obiettivi (es. earnings volatility,
reputazione etc.), viene espresso il livello di rischio accettabile tenuto conto del grado di importanza di
suddetti obiettivi all’interno dell’azienda.
 14

Le componenti dello standard sono:

֎ Risk management framework (la struttura e le operazioni da avviare rispetto al modo in cui si vuole
approcciare al risk management);
֎ Risk management process (che riguarda il modo in cui i rischi sono trattati e gestiti);
֎ Principi inerenti alle risk management activities (attività che riguardano sia il processo sia il
framework).

Per identificare il processo di risk management, visto che il rischio è strettamente legato al raggiungimento
degli obiettivi aziendali e tiene conto degli elementi di incertezza, va esaminato il contesto esterno (grado
di pressione degli stakeholder etc.) al fine di constatare se gli obiettivi sono coerenti e adeguati. A seguito
di questo primo step bisogna identificare i rischi, cioè se esistono cause che possono limitare la capacità di
raggiungere gli obiettivi, a seguito si individuano le fonti e le cause dei rischi precedentemente identificati e
inoltre bisogna esplicitare la probabilità di verificazione, le conseguenze e le estensioni delle conseguenze e
questo consente di identificare un grado di rischio residuale, cioè la quantità di rischio che residua
dall’applicazione delle procedure di controllo esistenti.
A questo punto occorre fare una valutazione dei rischi, comparando i risultati delle analisi con alcuni target
da definire per individuare l’ammontare di rischio residuale tollerabile.
A questo punto si ha a disposizione un set di informazioni complete che permette di comprendere qual è il
risks treatment (trattamento dei rischi), e cioè valutare se essi vanno gestiti, eliminati, accettati e come
bisogna approcciare sistematicamente per tutti i rischi aziendali al fine favorire il raggiungimento degli
obiettivi.

Diventa essenziale la definizione di fase di monitoraggio e revisione – unita con la comunicazione e

consultazione – in quanto sono azioni di controllo contemporanee, sistematiche e sinergiche nelle quali si
revisionano le misure di gestione del rischio rispetto a definiti indicatori per capire se sono appropriate, si
controllano eventuali deviazioni nella pianificazione del risk management, si comprende se il framework di
risk management è ancora adeguato.
Il risk management framework include:
v Risk architecture – identifica dei ruoli e delle responsabilità;
v Strategy – gli obiettivi che la gestione dei rischi intende perseguire;
 15

v Protocols – le procedure che esprimono le modalità di implementazione della funzione di risk

management.

I principi che guidano il risk management sono:

Ø Deve creare e proteggere valore;

Ø Deve essere basato sulle migliori informazioni possibili;
Ø Deve rappresentare una parte integrale dei processi;
Ø Dev’essere cucito su misura per le necessità dell’azienda;
Ø Deve essere una parte connaturata, essenziale ed intrinseca dei processi decisionali;
Ø Deve tener conto della dimensione umana e della dimensione dei fattori culturali;
Ø Si deve riferire espressamente alle incertezze;
Ø Necessita di trasparenza ed inclusività nei processi;
Ø È un processo sistematico, strutturato e tempestivo;
Ø È un processo dinamico, iterativo e proattivo rispetto al cambiamento;
Ø Deve facilitare il continuo miglioramento dell’organizzazione nella direzione della creazione di
valore.

I principi devono orientare la stesura del framework, e cioè il modo con cui si attua nelle routine aziendali la
funzione di risk management e le caratteristiche dei processi definiti all’interno del risk management
framework vanno ad impattare sul risk management process. Questi sforzi inoltre fanno da feedback e
quindi intervengono sui principi – se la necessità è quella di calarli meglio all’interno del contesto aziendale,
garantendo una maggiore condivisione e una maggiore cultura del controllo – e sul framework – possono
essere disvelatori di problematiche procedurali nella funzione di risk management e permettere di
intervenire con tempestività.
Bisogna sempre tener conto che l’ISO31000 è una linea guida e non uno standard composto da parametri
da rispettare.

COSO Framework
Il COSO definisce l’ERM come un processo realizzato dal CDA, dal management e dal resto del personale che
viene applicato nella fase di definizione della strategia attraverso l’impresa, disegnato per pianificare eventi
che possono impattare sull’impresa e per gestire il rischio della risk appetite e per fornire ragionevoli
rassicurazione nel raggiungimento dei suoi obiettivi.
L’ERM nasce per supportare la creazione di valore, deve avere a che fare con l’incertezza gestendola, deve
operare in maniera tale da ridurre la probabilità di impatti negativi o riduzioni degli outcome e migliorare la
capacità di comunicare il valore creato dall’impresa agli stakeholder.
A differenza dell’ISO31000 che riporta una schematizzazione della relazione tra principi, struttura del
processo, contenuto del processo, monitoraggio e comunicazione, l’ERM ha una rappresentazione
maggiormente olistica che suggerisce la necessità della creazione di un linguaggio comune all’interno
dell’azienda per direzionare e supportare il processo di risk management.
L’ERM 2004 era un modello statico di risk management perché, sebbene implicitamente contenesse una
serie di caratteristiche che spingevano alla necessità di allineare gli attori aziendali alle esigenze del risk
management legandolo alla mission ed alla vision, alcune aree rimanevano separate.
Con l’ERM 2016 si approccia in maniera dinamica con un più esplicito riferimento alle strategie, alla mission
ed alle necessità di coinvolgimento tra tutte le funzioni dell’impresa.
 16

Evoluzione COSO Framework ed impatti

Per comprendere cosa costituisce l’ERM il vecchio modello rimane valido in quanto, sebbene sia cambiato
in parte l’approccio al risk management in termini di più alto ruolo del risk manager e di più alto grado di
pervasività, i task rimangono invariati.

Nel modello ERM 2004 le categorie di obiettivi che si vogliono presidiare con approccio orientato al rischio
sono:

֎ Obiettivi strategici;
֎ Obiettivi operativi;
֎ Obiettivi di reporting;
֎ Obiettivi di compliance.

Tali obiettivi possono essere declinati considerando:

• L’impresa nel suo complesso;

• Le divisioni;
• Le sussidiarie;
• Le unità di business.

Si assume una visione di portafoglio dell’ERM: oltre a considerare i singoli rischi esso deve considerare
come questi rischi si correlano e come devono essere gestiti in un’ottica di portafoglio, e cioè sia nella
prospettiva di interventi sulla singola unità di business sia nella prospettiva dell’impresa nella sua interezza.
Le componenti dell’ERM (layers) sono interrelate tra loro:

Ø Internal environment – fase di realizzazione di una cultura del rischio e del risk management
che consenta di avere un approccio al decision making che sia in grado di riconoscere gli eventi
inattesi e di stabilire una cultura pervasiva a tutti i livelli aziendali orientata alla gestione del
rischio. È un’ottica orientata all’interno dell’impresa;
Ø Objecitve setting – fase di analisi dello scenario che serve per stabilire gli obiettivi. È uno degli
aspetti che maggiormente cambia tra il modello ERM 2004 ed il modello ERM 2016 perché nel
 17

primo modello il layer non esprimeva con chiarezza che l’analisi dello scenario deve fare
riferimento ad uno scenario esterno, e quindi alla valutazione di eventuali rischi che potrebbero
derivarne, e stabilire il grado e la tipologia di risk appetite e l’atteggiamento in termini di risk
tolerance. Nel primo modello la prospettiva interna travalica, in termini di attenzioni dedicate,
quella esterna perché non viene esplicitato, seppure necessario, il moto circolare in cui certe
decisioni prese sul rischio vanno ad impattare sul modo in cui vengono definiti gli obiettivi;
Ø Event identification – livello che fa riferimento alle procedure concrete di risk management,
riguarda la possibilità di analizzare gli scenari ed evidenziare rischi ed opportunità. È una fase
dove, inoltre, vi è l’analisi degli eventi avversi che possono impattare sull’azienda internamente
ed esternamente, modificando il modo in cui la strategia si dipana e contribuisce alla
realizzazione degli obiettivi e si cerca come la materializzazione degli eventuali rischi potrebbe
impattare sul risk profile (il profilo di rischio dell’impresa). È una fase che avviene ai livelli del
top management ma è poi necessario identificare anche la situazione a livello di business unit
poiché il processo di enterprise risk management nel COSO Framework è sempre di tipo top-
down e successivamente bottom-up (es. scenario: perdita di know-how critico; cause:
abbandono personale qualificato; conseguenze: abbassamento dei ricavi di vendita);

Ø Risk assessment – è una fase che identifica la probabilità di un evento e l’impatto di

verificazione del medesimo, ricordando che non dev’esserci solo un approccio quantitativo ma
può essere misurato anche con indicatori qualitativi (es. rischio inerente, e cioè quel rischio che
si corre in assenza di interventi di controllo: 3/5; rischio residuale: 2/5)

Il risk assessment può essere riassunto in una matrice che ha come variabili la probabilità di
verificazione di un evento (alta o bassa) e la tipologia di impatto che da esso può scaturire (alto
o basso). Ovviamente le attenzioni dell’impresa dovranno maggiormente focalizzarsi su quegli
 18

eventi ad alta probabilità di verificazione e il cui impatto è alto (es. Call center);

Ø Risk response – è una fase che identifica azioni da attuare per evitare gli eventuali danni
valutati nella fase di risk assessment (es. azione di mitigazione: aggiustamento del contratto;
tipologia di azione: preventiva; efficacia: 4/5);

Riprendendo la matrice del risk assessment, il risk response fornisce delle azioni che
potrebbero essere messe in pratica per gestire il rischio (es. Call center);

Ø Control activities – nelle control activities fanno parte tutte le policy che, a tutti i livelli
dell’organizzazione, garantiscono vi sia un adeguato presidio dei rischi da controllare, e quindi
un adeguato controllo al fine di verificare che i processi e le procedure avvengano in maniera
efficace ed efficiente. Esse monitorano anche l’adeguatezza delle soluzioni di mitigazione
attuate dall’impresa.
 19

(il primo grafico mostra la probabilità di impatto di verificazione dell’evento senza azioni di
mitigazione, il secondo mostra come si abbassano questi valori dopo gli interventi);
Ø Information & comunication – l’ERM è un processo che riguarda tutti gli attori aziendali e
quindi necessita di correnti flussi di comunicazione e coordinamento tra le funzioni;
Ø Monitoring – monitoraggio continuativo ed apprezzamento continuativo nel tempo della
coerenza del sistema di controllo.

Affinché la funzione sia efficace ed efficiente è necessario un corretto collegamento con la mission e la
vision: se non sono chiari gli obiettivi al top management difficilmente possono poi filtrare al risk
management ed impattare su tutti i livelli organizzativi. Questa visione è stata criticata poiché mission e
vision non erano adeguatamente esplicitate nel modello ERM 2004.

COSO ERM 2016

Nel nuovo modello vision, mission e core values si trovano al centro in maniera da garantire che la gestione
del rischio sia allineata specificatamente alla strategia, garantendo un maggior commitment e una
maggiore trasparenza della cultura aziendale del rischio, orientando i dipendenti verso gli obiettivi di
business.
In questo modello da un punto di vista applicativo cambia ben poco: le operazioni strettamente connesse al
rischio (identificazione, valutazione, risposta) sono riassunte in risk in execution. Quello che cambia è
l’approccio: più che avere una valenza applicativa ha una valenza ideologica. In questo modo si ritiene che
l’ERM sia più comprensibile da chi deve attuare le policy perché anche nella sua rappresentazione grafica
tira fuori le caratteristiche di un business model.
Secondo i redattori il nuovo modello dovrebbe consentire una maggiore accuratezza e precisione nella
possibilità di individuare tempestivamente eventi negativi ed opportunità che possano impattare sulla
performance aziendale, esplicitando meglio il collegamento tra risk management e controllo di gestione.
Il board è responsabile della governance e della cultura del rischio, il management stabilisce la strategia, i
livelli di accountability da garantire e qual è l’efficacia del modello ERM, elabora modalità di comunicazione
delle linee guida sull’approccio di governo dei rischi, sulla struttura del modello ERM, sulle responsabilità,
sulla risk appetite, sul monitoraggio e sulle azioni correttive.
 20

L’implementazione del modello è vista in maniera processuale:

§ Governance & culture – si tiene conto della mission, della vision e dei core values e si deve
comprendere come questo impatta sulla strategia e il suo sviluppo. Fase nella quale si gettano le
basi ideologiche per l’interpretazione dell’ERM la cui responsabilità è del CDA;
§ Strategy & objective-setting – fase di definizione di una strategia di approccio al rischio
considerando il contesto di business, la definizione della risk appetite, la valutazione di strategie
alternative, la formulazione di obiettivi di business.

Si può decidere un determinato target di performance che vorrà raggiungere (linea viola) tenuto
conto del profilo di rischio ad esso associato. Una volta che sono stati stabiliti gli obiettivi strategici
ed i target di performance da raggiungere è necessario verificare il livello di rischio collegato al
target e confrontarlo con la risk appetite che potrebbe anche essere modificata rispetto alle
mutazioni dell’ambiente esterno, ma il diktat è che il rischio effettivo deve ricadere tra i valori della
risk appetite e comunque non eccedere la risk capacity, la scelta strategica deve essere contenuta
all’interno del risk profile;
 21

Si potrebbe generare un problema legato alla chiarezza sia all’interno dell’azienda sia all’esterno: se
non vengono svolte correttamente le funzioni di monitoraggio, di informazione e di comunicazione
dell’ERM sarà difficile definire quale sia la risk appetite overall dell’impresa e quale sia la capacità di
rischio che essa può considerare. Questo può essere dovuto a motivi legati o a cattivi flussi di
comunicazione oppure ad un volontario sfruttamento delle asimmetrie informative da parte di
alcuni soggetti che vogliono continuare a detenere il controllo;
§ Performance – è una fase di procedure che riguardano l’identificazione e valutazione dei rischi,
l’individuazione degli eventi con maggiore priorità e la pianificazione di eventuali risposte in
un’ottica di portafoglio;
§ Review & revision;
§ Information, comunication & reporting;

Per far sì che il modello ERM funzioni è importante:

ü Determinare e condividere la filosofia del rischio d’impresa;

ü Comprendere il grado di condivisione della risk culture all’interno dell’organizzazione (es.
attraverso questionari);
ü Usare la risk culture come una modalità per veicolare all’interno dell’organizzazione i valori etici e
l’integrità;
ü Devono essere chiari ruoli, responsabilità e processi di accountability.

I vantaggi del modello ERM:

Approccio sistematico alla creazione di valore;

Offre un linguaggio comune che permette di oltrepassare i confini di separazione tra le funzioni;
Consente all’organizzazione di avere un approccio introspettivo.

Le barriere all’implementazione dell’ERM sono:

1) Molte imprese ricercano un impatto diretto del valore creato dall’ERM rispetto ai propri
investimenti;
2) Molte imprese anche di grandi dimensioni ritengono che la funzione sia troppo complessa e
costosa;
3) Non vi è una dotazione quali-quantitativa sufficiente del personale;
4) La funzione può non avere sufficiente budget;
5) Competenze e capacità degli attori che si interfacciano con il risk management;
6) Assenza di percezione all’interno dei livelli manageriali intermedi della reale utilità della funzione di
risk management.
 22

La rilevanza dell’ERM risiede nel fatto che, anche se non direttamente quantificabile, se ben implementata
essa crea valore abbassando il grado di rischio overall dell’impresa e facilita il raggiungimento del valore
atteso da parte del top management nell’ambito della definizione della strategia.

L’ERM non riguarda solo la mitigazione del rischio, ma riguarda anche il risk reward: una funzione di risk
management che assolve correttamente ai suoi compiti si possono raggiungere livelli ottimali di rischiosità
dell’impresa superando tre problemi:

v Loss aversion – si evitano scelte strategiche per paura di incorrere in perdite;

v Myopia syndrome – attenzione delle persone che cresce all’aumentare dei controlli;
v Framing impact – effetto cornice nel modo in cui le persone assumono le decisioni.
 23

Risk disclosure
In generale la disclosure si divide in due categorie: la mandatory disclosure (obbligatoria) che deriva dalla
necessità normativo regolamentare di fornire un grado di dettaglio specifico su alcune circostanze che, in
primissima istanza, vanno a tutelare gli investitori, cioè coloro che decidono di acquistare i titoli del capitale
di proprietà di quell’azienda. La voluntary disclosure (volontaria) è quella che volontariamente ogni
tipologia di azienda può decidere di proporre ai propri stakeholder e questo viene fatto per incontrare
diverse esigenze informative che possono essere più o meno esplicitate da questi stakeholder, e ciò può
essere fatto non solo attraverso i documenti classici (bilancio sociale, bilancio di mandato, bilancio di
genere, bilancio di sostenibilità), ma è un’operazione che viene attuata dalle aziende attraverso diverse
modalità e con diverse tipologie di approcci e in base allo strumento utilizzato per la diffusione di queste
informazioni e alla specificità di tali informazioni andrò a perseguire certi obiettivi informativi degli
stakeholder piuttosto che altri (metodi alternativi possono essere i siti web, le pagine social o anche sul
packaging del prodotto).
Gli obiettivi della mandatory disclosure sono essenzialmente tre: la riduzione delle asimmetrie informative,
che è la motivazione principale per la quale le aziende producano informativa. Tali asimmetrie derivano
essenzialmente dal rapporto di agenzia che si viene a creare all’interno dell’assetto aziendale, quindi dal
fatto che non necessariamente il detentore del titolo del capitale di proprietà sia poi effettivamente quello
che governa, e quindi da un lato dobbiamo garantire agli investitori che i manager stiano operando nei loro
interessi, dall’altro lato dobbiamo anche essere certi che le informazioni che vengono veicolate all’esterno
siano affidabili e in linea con gli obiettivi aziendali. La mandatory disclosure ha anche la finalità di creare
delle esternalità positive perché quando si va oltre il mero approccio formale alla redazione dell’informativa
e quindi si abbandona l’utilizzo di check list andando verso un atteggiamento più sostanziale e ci si
domanda se le informazioni fornite sono sistematicamente interpretabili, sono profonde, spiegano
motivazioni, obiettivi, circostanze, se è così quell’informativa sarà maggiormente intellegibile per una
platea di utilizzatori del documento (bisogna andare oltre il breve periodo) e genererà delle esternalità
positive, rendendo così anche più affidabili i giudizi degli analisti. In generale, in merito al discorso della
disclosure, quando la formalità vinee eliminata per fare posto alla sostanzialità, cosa che non accade
frequentemente, si migliora la comparabilità e si va verso il perseguimento dell’efficienza dei mercati
finanziari.
La voluntary disclosure inizialmente nasceva per spiegare agli stakeholder una serie di questioni
potenzialmente di loro interesse ma evitando un linguaggio troppo tecnico, tipicamente utilizzato per il
bilancio. Si davano in questo modo agli stakeholder anche informazioni riguardanti le performance
economico-finanziarie, ma in un modo che fosse intellegibile e che fosse soprattutto collegabile ai loro
interessi e alla loro interpretazione del mondo che li circonda. Un altro obiettivo della voluntary disclosure
è quello di andare a migliorare l’immagine dell’azienda. Si dice che la voluntary disclosure venga utilizzata
dall’azienda come uno strumento di legittimazione, un modo per far capire agli stakeholder le
caratteristiche dell’impresa al fine di ottenere una loro approvazione. Un’azienda, per esempio, potrebbe
utilizzare la voluntary disclosure per un obiettivo di regain legitimacy, cioè recuperare una legittimazione
eventualmente persa a causa di uno scandalo o di una perdita reputazionale. Inoltra questa tipologia di
disclosure può essere usata come una strategia per differenziarsi agli occhi degli stakeholder per quanto
attiene al profilo competitivo, quindi come uno strumento per raggiungere il vantaggio competitivo.
All’interno della disclosure obbligatoria troviamo il prospetto di quotazione, il bilancio ed i bilanci
intermedi, prospetti di mergers and acquisition e spiegazioni dettagliate su particolari operazioni che
coinvolgono le parti correlate o le terze parti, e comunicazioni ad hoc che possono riguardare alcuni episodi
atipici negli andamenti dell’impresa rispetto ai quali viene richiesto di fornire informazioni (cosa comune
nel settore farmaceutico dove vengono portati a compimento clinical trial i quali esiti, una volta conosciuti,
devono essere resi noti, cosa che può avere un effetto rilevante sugli andamenti del titolo in bilancio). Per
quanto riguarda la disclosure obbligatoria il fatto di avere a disposizione queste informazioni può risultare
vantaggioso per l’impresa in quanto produrle all’interno risulta meno costoso, inoltre si possono avere dei
 24

miglioramenti della performance legati alla qualità dell’informazione e tutto questo accade se l’impresa
riesce a garantire la correttezza e profondità dell’informazione, ovvero in linea con il modello di business e
con la performance.
La questione che viene dibattuta oggi è se non valesse la pena di estendere i confini della discolsure
obbligatoria: è opinione della maggioranza di non estendere i confini perché la disclosure è molto onerosa,
quindi se questi confini dovessero essere ampliati per comprendere al loro interno anche le informazioni
trattate dalla disclosure volontaria si potrebbe generare un eccesso di costo di produzione
dell’informazione ed eccessivi costi anche legati alla diffusione di quell’informazione. Divulgare
informazioni, andando anche sempre più in profondità nel modello di business, ha sicuramente dei
vantaggi perché l’azienda ha la possibilità di mostrarsi più solida e affidabile, ma deve capire dove fermarsi
e questo essenzialmente per due motivi: uno è di carattere assolutamente competitivo (i competitor
potrebbero ricavare da queste informazioni dei punti deboli o potrebbero emulare dei processi vincenti),
un’altra motivazione è che molta informazione equivale a nessuna informazione perché i soggetti
destinatari potrebbero andare in un information overload, cioè essere talmente soffocati da questo carico
di informazioni da non riuscire a distinguere tra le informazioni rilevanti e quelle che non lo sono,
influenzando la tempestività dell’informazione.
La disclosure volontaria vuole riempire quei buchi lasciati dalla disclosure obbligatoria con l’obiettivo di
ridurre la percezione di rischiosità dell’azienda e quindi essa dovrebbe avere una funzione suppletiva
rispetto alla disclosure obbligatoria andando a fortificare il rapporto tra l’azienda e lo stakeholder
interessato, riducendo la volatilità del titolo sul mercato.
Analizzando le motivazioni che determinano la disclosure volontaria, innanzitutto bisogna nominare i
mercati finanziari. Il ruolo dei mercati finanziari è cambiato nel corso del tempo perché oggi anche nei
mercati finanziari si fa attenzione a quegli indicatori di bilancio che esprimono il valore dell’azienda, per
comprendere le sue evoluzioni future e nasce quindi il bisogno di fare capire come essa raggiunge le sue
performance, perché queste ultime saranno il driver per capire se l’azienda può tenere rispetto alle istanze
e le pressioni di tipo sociale e di tipo ambientale. Quindi, poiché il bilancio non può rispondere ad una serie
di domande, la disclosure volontaria risponde a domande maggiormente qualitative che non trovano
spiegazione nel bilancio. La disclosure volontaria è aumentata con l’aumentare delle pressioni sociali e
anche con l’evoluzione tecnologica, anche perché rispetto a tale tipologia di disclosure viene sfruttato
anche un effetto eco perché nel momento in cui un’azienda pubblica un bilancio di sostenibilità ci saranno
una serie di tweet o condivisioni sui social di quel determinato bilancio favorendone una diffusione e
pubblicizzazione immediata. La disclosure volontaria, inoltre, va a ridimensionare il solco che esiste ed
esisterà sempre tra l’informazione che è disponibile sul mercato e quella che sarebbe desiderata dal
mercato e, ovviamente, le tipologie di disclosure volontaria vanno a seguire i trend-topic.
I soggetti destinatari della voluntary disclosure sono le aziende, i manager, stakeholder e shareholder.
Questi soggetti beneficiano della disclosure volontaria diversamente: innanzitutto, l’azienda trae beneficio
perché migliora la propria immagine (greenwashing: strategia di molte aziende per sembrare più attraenti
agli occhi degli stakeholder attraverso la quale viene esplicitato che operano in maniera sostenibile, quando
invece i processi non sono improntati alla sostenibilità, ma sono effettuate delle iniziative casuali ben
lontane dal concetto di sostenibilità). I manager beneficiano della disclosure volontaria perché nel mercato
del lavoro avere un’informativa che metta in luce una buona gestione nel precedente incarico può
impattare sulla sua appetibilità. Infine, è importante che all’interno dell’azienda vengano attuate una serie
di iniziative che puntino a soddisfare i bisogni degli stakeholder, mentre per gli shareholder un’immagine
legittimata dell’azienda significa meno volatilità del titolo sul mercato.
Il nucleo fondamentale delle questioni che riguardano la disclosure, sia obbligatoria che volontaria, si
riduce ad una sola problematica: laddove si hanno delle linee guida da seguire come il bilancio sociale, il
bilancio di sostenibilità, l’integrated reporting per i quali esistono vari schemi e varie linee guida, tutti
questi riferimenti segnalano su cosa lo stakeholder si aspetta di essere informato fornendo una serie di liste
che dovrebbero essere divulgate per estrarre tutti i benefici legati all’informativa. Quello che resta
 25

totalmente inesplorato all’interno di quasi tutti i riferimenti, sia quelli di disclosure obbligatoria che quelli di
disclosure volontaria, è il come questa informativa debba essere realizzata (es. per la determinazione degli
obiettivi di rischio per l’anno successivo, l’azienda potrebbe far filtrare nella sua informativa che tali
informazioni siano state esplicitate e condivise con il management, oppure potrebbe rispondere che tali
rischi riguardano specificatamente determinate aree, con questo target e verranno monitorati facendo
riferimento a questi indicatori di performance, indicando anche i soggetti responsabili e ogni quanto tempo
avverrà la fase di monitoraggio. In entrambe le alternative proposte da un punto di vista formale le
esigenze informative vengono soddisfatte, ma nel primo caso in concreto non viene detto praticamente
niente, mentre nel secondo si ha un esempio di informativa data in maniera dettagliata). La questione
inerente alla disclosure e alla sua qualità si colloca esattamente nel continuum tra questi due estremi ed è
molto complesso parlare di qualità della disclosure, in quanto le check list non specificano i legami che
devono essere creati per rendere comprensibile il profilo di rischio di un’azienda.
I limiti alla disclosure volontaria sono, innanzitutto la competizione, in secondo può accadere che, nel
momento in cui un’azienda da molte informazioni volontarie, potrebbe trovarsi nella situazione nella quale
gli anni seguenti gli stakeholder alimentino forti aspettative circa i risultati ottenuti e le modalità attraverso
le quali essi sono giunti. Questo può determinare i bargaining costs: nel momento in cui si identificano
alcune debolezze nell’informazione possono sorgere una serie di problematiche legate ai contratti,
litigation costs (cause). Detto questo è chiaro l’interesse dell’azienda ad avere una qualità profonda della
disclosure ma obiettivamente rimanendo entro i limiti dei benefici senza poi andare a cadere negli
svantaggi di un’eccessiva informativa divulgata all’esterno.
La risk disclosure è spezzettata in diversi documenti, di carattere sia obbligatorio che volontario, inoltre
può essere sia di natura qualitativa che quantitativa. Il fatto che la risk disclosure sia spezzettata crea una
serie di problematiche perché all’interno dello stesso documento si hanno informazioni sui rischi che
vengono richieste in sezioni diverse dello stesso documento e perché tra i vari documenti non è
assolutamente certo che vi sia una coordinazione di quelle informazioni. Quindi può accadere che alcune
informazioni siano sovrapposte, duplicate e ripetute più volte. Specularmente alle sovrapposizioni vi
saranno quasi certamente anche dei buchi neri all’interno dell’informativa, (es. negli anni immediatamente
successivi alla crisi erano legati ai rischi di liquidità, argomento inizialmente poco considerato che ha
assunto successivamente una certa rilevanza dopo la crisi finanziaria e la crisi del debito sovrano).
L’integrated reporting è l’ennesimo documento di disclosure volontaria che esce fuori negli ultimi anni per
andare a soddisfare esigenze da parte degli stakeholder di stabilità finanziaria e di sostenibilità. Di fatto
esso sfida un approccio che è stato tipico dell’economia internazionale legato essenzialmente alla
speculazione e al breve termine, e questo perché, nel momento in cui gli obiettivi delle aziende erano
essenzialmente di carattere speculativo, accadeva che il maggior focus dell’informazione fosse esattamente
sulla dinamica finanziaria dell’azienda. Oggi invece, con una forte inversione di tendenza, quello che viene
ritenuto assolutamente importante è un concetto di accountability ampliata, cioè non deve interessare solo
se l’azienda genera profitti ma anche come li genera, e soprattutto è importante capire, sia per gli
investitori che per i clienti, se l’azienda sia in grado di realizzare questi profitti in una modalità che sia anche
in linea con la dimensione morale, etica etc. degli stakeholder di riferimento. Tutto questo interessa
all’impresa per un duplice motivo: innanzitutto potrebbe avere interesse a collaborare con soggetti che
abbiano il suo stesso orientamento e poi perché se andasse contro le tendenze etico morali, diventerà
anche meno affidabile sotto il profilo economico-finanziario. Quindi essenzialmente agli utilizzatori di
questo documento volontario interessa capire qual è il modello di business dell’azienda e in che modo
opera gestendo i rischi per perdurare nel tempo, quindi con un obiettivo di lungo e di breve periodo. La
ratio di quest’integrated reporting è che il valore dell’azienda sia fatto da tante componenti e non soltanto
dalle dinamiche economico finanziare. La novità portata dall’integrated reporting è data dal fatto che mette
a sistema in uno schema non normativo molto flessibile il processo di creazione di valore con il modello di
business, con la gestione del rischio, con la divulgazione (quindi con la parte di accountability). Rispetto al
nuovo COSO ERM, il modello di integrated reporting è molto simile perché ci si è resi conto che non si può
 26

parlare di creazione del valore e accountability sulla creazione del valore se non si passa per le logiche di
comprensione del modello di business, performance management e risk management.

Il modello di integrated reporting è caratterizzato da una serie di capitali di cui si deve tener conto: gli input
del processo di creazione del valore sono di vario genere perché sono ovviamente finanziari (il circuito dei
finanziamenti), input manufatturieri (il circuito della produzione) e poi tutti una serie di fattori che prima
non venivano considerati come ad esempio il capitale intellettuale, il quale risulta essere un fattore
determinante in quanto il valore si crea attraverso una composizione e ricomposizione di conoscenze tacite
e conoscenze esplicite. Le conoscenze tacite sono legate alle persone, il capitale umano, il capitale sociale e
relazionale (sia interno che esterno) e ovviamente anche di capitale naturale. Tenuto conto di questi input
poi bisogna tener conto del modello di business, cioè del modo in cui sono organizzate le attività di
business per la realizzazione degli output (outcome: risultati della performance) tenuto conto della mission
e della vision, come anche della governance. Quindi si ha un modello circolare e orizzontale al cui centro c’è
il modello di business ma che ci rendiamo conto che non si crea valore senza risorse e se i benefici non sono
superiori ai sacrifici sopportati.
L’integrated reporting migliora le informazioni disponibili per gli stakeholder grazie alla sua struttura
schematica che permette a chi legge l’informativa di entrare dentro l’azienda e permette inoltre di cogliere
quel link tra mission, strategia, risk, risultati e impatti dell’azienda, riesce a promuovere un approccio
basato sulla comunicazione di fattori omogenei tra le imprese che se ne avvalgono e quindi permette di
poter confrontare questi processi di creazione di valore che sono effettuati da queste aziende e in realtà
risulta anche essere il veicolo di una logica olistica ed integrata dell’organizzazione che è quindi comune a
ciò che è stato detto in relazione al performance management e al risk management.

IFRS 7

Ø Si applica a TUTTE le entità che hanno strumenti finanziari;

Ø Impatta qualsiasi entità che detiene anche strumenti semplici come prestiti, conti passivi e crediti,
liquidità e investimenti;
Ø Le entità sono tenute a segnalare le metriche che utilizzano internamente per gestire e misurare i
rischi finanziari;
Ø Richiede ai soggetti segnalanti di indicare la sensibilità dei loro risultati ai movimenti dei rischi di
mercato come una conseguenza dei loro strumenti finanziari.
 27

L'IFRS 7 richiede alcune informazioni integrative in due aree principali:

• Significatività degli strumenti finanziari;

• Natura ed entità dei rischi derivanti dagli strumenti finanziari e modalità di gestione degli stessi.

L'IFRS 7 richiede un'informativa qualitativa e quantitativa per tre principali rischi: credit risk, liquidity risk,
market risk (currency risk, interest rate risk e other price risk).

§ Informativa qualitativa – descrive come l'azienda è esposta ai rischi, come essi sorgono e come
vengono gestiti;
§ Informativa quantitativa – sintesi dei dati quantitativi relativi all’esposizione al rischio. L'IFRS 7
richiede una specifica quantità di informazioni per ogni tipo di rischio, più una serie di informazioni
sulla concentrazione dei rischi.

ERM in Europa
L’obiettivo della ricerca è da un lato mettere in evidenza lo stato di sviluppo dell’ERM in Europa, dall’altro
considerare fattori comuni e fattori di differenza nei modelli, il modo e le tempistiche con cui si è sviluppato
l’ERM e le lacune che restano da colmare. La ricerca si è concentrata sulla delineazione di alcune basi
concettuali comuni, categorizzando i Paesi in base ad una serie di comportamenti che sono emersi durante
l’analisi, e sulla formulazione di proposte potenzialmente risolutive.
Il background della ricerca sì fonda sul concetto che i modelli di ERM non possono essere internamente
compresi se non contestualizzati all’interno dell’ambiente economico, dell’ambiente politico e
dell’ambiente scientifico. Non esiste in ambito di gestione del rischio un modello “one size fix all”, e questo
è ancor più vero in quanto, quando si ha a che fare con la dinamica del rischio, si ha a che fare con un
dominio culturale che ha attinenza con l’incertezza e soprattutto con il modo nel quale essa viene percepita
e quindi tradotta in azioni.
Sebbene si sia progressivamente affermata la gestione del rischio, il settore motore dello sviluppo dell’ERM
è stato quello finanziario che, oltre alla pressioni ed esigenze manageriali, doveva rispondere all’emersione
di una serie di regolamentazioni più stringenti per garantire che i rischi fossero gestiti (da ottica silo a ottica
sistematica).
I paesi europei coinvolti nella ricerca sono in totale 13 (Norvegia, UK, Germania, Svizzera, Lituania, Polonia,
Portogallo, Svezia, Spagna, Italia, Olanda, Francia e Grecia) e sono emersi una serie di dimensioni di analisi
per comprendere lo scenario attuale:

1) Fattore normativo – fa riferimento ad iniziative regolamentari che sono intervenute negli anni
tenendo conto delle diverse fattispecie dei sistemi giuridici. Porta a rafforzare la struttura della
governance aziendale, il sistema dei controlli interni ed il funzionamento dei sistemi del controllo
esterno. La normativa potrebbe essere un fattore di miglioramento dell’ERM, non diventa tale
quando vi è assenza di legame tra accounting, l’informativa sui rischi e l’ERM;
2) Sviluppo network professionali – in alcune aree è embrionale;
3) Sviluppo di ricerca accademica – per adesso è ancora molto limitata in quanto si focalizza su dati
quantitativi e, talvolta, tralascia i fattori contestuali legati all’impresa collocata nel suo ambiente di
riferimento.

Tenuto conto di questi aspetti, si è ritenuto importante sviluppare un approfondimento dello sviluppo
dell’ERM per i singoli paesi, comprendendo come il processo di sviluppo (o di non sviluppo) potesse essere
influenzato da questi fattori.
Il primo passo è stato quello di comprendere e diversificare la tempistica di sviluppo dei dibattiti sull’ERM di
paese in paese, e di tracciare questo periodo rispetto ad un trigger event che ha scatenato una
sensibilizzazione verso questi temi. Attraverso questa ricerca è stato possibile evidenziare quattro eventi
critici e tre periodi:
 28

Per quanto riguarda gli eventi critici, alcuni paesi hanno confermato che lo sviluppo dell’ERM corrisponde
ad una pressione generalizzata per migliorare il meccanismo di governance al fine di soddisfare evolute
esigenze manageriali. Altri paesi hanno citato come trigger event un fattore politico e, in misura prevalente,
esso è stato ascritto ad esigenze di conformazione alle pratiche europee. Alcuni paesi hanno citato fattori di
scandali e fallimenti di grandi dimensioni, infine, la Grecia ha citato come trigger event la crisi del debito
sovrano del 2011.
Per quanto riguarda invece i periodi: il primo fa riferimento agli ultimi dieci anni del XX secolo ed individua
quindi i first mover, il secondo fa riferimento ai primi anni del XX secolo, e l’ultimo periodo fa riferimento
alla metà del primo decennio del XX secolo.

Sempre in riferimento al trigger event, un altro elemento considerato nell’ambito della ricerca è stato
quello di cercare di comprendere se vi fosse un allineamento tra paesi con il medesimo trigger event e lo
stato di evoluzione dell’ERM.

Dalla tabella emerge che anche paesi che hanno avuto il medesimo trigger event, hanno ad oggi uno
sviluppo dei sistemi di ERM differente.
Gli stadi di sviluppo riscontrati sono quattro: il primo fa riferimento a paesi in cui l’ERM è soggetto a
regolamentazione, ma sotto il profilo pratico si riscontrano ancora delle limitazioni e la necessità di lavorare
sulle dimensioni comportamentali. Il secondo fa riferimento a paesi dove l’ERM è sì soggetto a dibattito, ma
l’implementazione è ancora molto frammentaria ed è difficile che il risk management venga percepito
come modalità di creazione del valore. Il terzo fa riferimento a paesi dove esiste una regolamentazione, ma
 29

anche un problema di frammentazione, questa volta dovuto al fatto che in questi paesi viene adottato un
sistema giuridico pervasivo (civil law), in cui vi è una normazione forte per quanto attiene il sistema di
controllo interno e alla disclosure e quindi, la preoccupazione di rispondere a tutte le richieste normative,
può talvolta impattare negativamente sul processo di risk management, perché da un lato esso può essere
percepito come un ulteriore “check the box”, dall’altro può essere influenzato dalla preoccupazione di
essere in compliance con tutte le richieste normative, senza focalizzarsi sul processo di creazione del valore.
Infine, il quarto fa riferimento al caso della Svezia, in cui il risk management è limitatamente regolamentato
ed ha come risultato una funzione di ERM che tende alle caratteristiche di un sistema molto avanzato.

I fattori analizzati nello specifico sono il contesto economico, il contesto regolamentare, il contesto di
governance, il contesto contabile, il contesto professionale ed il contesto accademico.
È emerso che i paesi sono caratterizzate da diversi contesti economici:

§ Paesi caratterizzati da una forte crisi con un debole controllo esterno dei mercati dei capitali,
condizioni finanziarie e fiscali sfavorevoli ed una presenza pervasiva dello Stato centrale;
§ Paesi caratterizzati dall’uscita della crisi finanziaria ma che a differenza del gruppo precedente sono
caratterizzati da elevati tassi di innovazione;
§ Economie innovative a carattere prevalentemente bancario, con una forte e pervasiva influenza
dello Stato con un crescente focus sull’innovazione;
§ Economie innovative e sane caratterizzate non solo da una condizione finanziaria favorevole ma
anche con un orientamento al mercato dei capitali.

Sotto il profilo regolamentare si riscontra una minore eterogeneità:

• Paesi in cui il risk management non è trattato in maniera autonoma, ma il rinvio è sempre ai
riferimenti normativi e pratici legati all’Internal Audit e internal control;
• Paesi in cui esiste un tentativo di regolamentare il risk management, ma in ogni caso questo
tentativo si ferma ad una focalizzazione sull’importanza della risk disclosure, dell’Internal Audit e
dell’internal control;
• Paesi in cui viene apertamente suggerito che, laddove si faccia riferimento a modelli di ERM,
bisognerebbe riferirsi al COSO ERM ed all’ISO31000.

Per quanto riguarda il contesto di governance si è riscontrata una situazione più elaborata:

o Paesi in cui il risk management viene ritenuto implicitamente una parte del sistema di controllo
interno;
o Paesi in cui il risk management viene ritenuto esplicitamente una parte del sistema di controllo
interno;
o Paesi in cui esistono varie tipologie di formalizzazioni e l’ERM non è tracciabile come internal
control system in senso stretto, ma può essere tracciabile come sistema di management
accounting;
o Paesi in cui si riconosce il ruolo strategico dell’ERM anche se non necessariamente nella pratica
quotidiana l’ERM in use è veramente sviluppato.

Per quanto concerne il contesto contabile esistono:

֎ Paesi in cui non c’è integrazione tra risk management e disclosure sui rischi;
֎ Paesi in cui il tentativo di integrazione c’è, ma rimane limitato alle imprese assicurative e ad
imprese del settore finanziario;
֎ Paesi in cui sia la financial sia la non financial disclosure evidenziano una forte integrazione con i
processi di gestione del rischio.
 30

Per quanto riguarda il contesto professionale ci sono:

Ø Paesi in cui il focus è limitato sull’importanza di creare una professione di enterprise risk
management, e quindi di creare una cultura ed un’educazione legata ai modelli;
Ø Paesi in cui permane una visione silo-based, e quindi l’educazione sui temi di gestione del rischio è
ancora molto embrionale;
Ø Paesi in cui l’educazione e lo sviluppo professionale resta avvinto ai controlli tradizionali e canonici,
svolgendo una funzione di compliance;
Ø Paesi in cui vi è un tentativo di educazione e diffusione di una cultura del risk management per
quanto concerne i profili strategici.

Infine, per quanto riguarda il contesto accademico ci sono:

v Paesi in cui la ricerca è frammentaria e non ci sono network di ricerca o comunità di ricercatori;
v Paesi in cui la ricerca sull’ERM si limita a tematiche di internal control, Internal Audit o temi di
natura finanziaria;
v Paesi in cui la ricerca ERM si concentra principalmente sul controllo interno/verifica interna;
v e questioni finanziarie, e le attività di networking e le comunità sono in rapida crescita.

Questa ricerca ha cercato di identificare, rispetto a determinate caratteristiche (ossia sviluppo, condizioni
economiche, regolamentazione, governance e accounting, approccio professionale e ricerca), quali sono i
comportamenti dei vari Stati.
Nel caso della Germania, ad esempio, emerge un’economia fondata sull’elevata protezione per gli azionisti,
un ruolo strategico dell’ERM anche se alcune pratiche sono ancora svolte da internal control ed internal
audit, da un punto di vista regolamentare vi sono espliciti riferimenti alle linee guida del COSO e dell’ISO,
sotto il profilo della governance e dell’accounting il risk management ha dignità strategica ed è necessario
integrarlo con la disclosure, sotto il profilo professionale c’è un livello misto di coinvolgimento, ma c’è una
spinta forte da parte dei network professionali all’engagement sulle tematiche di tipo strategico legate al
risk management. Infine, sotto il profilo della ricerca risulta essere maggiormente focalizzata sui temi di
internal control ed internal audit, ma le comunità di ricerca sono in forte crescita.
Ben differente è il caso della Grecia in quanto l’implementazione dell’ERM è frammentaria ed è tracciabile
nelle funzioni di internal control, internal audit e compliance, rimanendo una funzione non formalizzata
all’interno della governance. Dal punto di vista economico la Grecia vive un momento di crisi difficile ed
offre poca protezione verso gli investitori e condizioni finanziarie sfavorevoli. Sotto il profilo professionale
vi è un limitatissimo focus sui modelli più noti e, infine, sotto il profilo della ricerca è focalizzata su temi di
internal control, con poche comunità poco attive.
Un altro caso di interesse è senza dubbio l’Italia: qui l’implementazione dell’ERM è frammentaria e
presenta uno strettissimo legame con le questioni regolamentari, vi è una situazione finanziaria difficile con
una serie di ampi incentivi per gli investitori, ma vi è un focus crescente sull’innovazione con una
regolamentazione poco strutturata sul risk management, con un richiamo solo nel codice della corporate
governance e frequenti riferimenti ad internal control ed internal audit. Spesso, sotto il profilo della
governance, l’ERM ricade nelle funzioni di sistema di controllo interno e questo crea, nella maggior parte
dei casi, una distanza tra la gestione del rischio e la disclosure. Sotto il profilo professionale vi sono una
serie di questioni legati alla compliance e solo nell’ultimo tempo si sono visti apparire i primi network
professionali e la ricerca è estremamente frazionata e parcellizzata.

Alla fine della ricognizione e sulla base dei dati raccolti per ogni Paese, si è effettuata una cluster analysis:
essa è una metodologia statistica che permette di creare dei raggruppamenti per evidenziare quali sono
quelli che hanno comportamenti omogenei e quali quelli che hanno comportamenti differenti:
 31

La cluster analysis ha dato risultati interessanti, in particolare ha consentito l’identificazione di cinque

gruppi di Paesi omogenei al loro interno.
Il primo cluster comprende solo la Grecia: essa ha un comportamento abbastanza dissimile rispetto agli altri
Paesi ed è stata inquadrata come “beginner”, vale a dire come Paese la cui cultura interna dell’ERM è
ancora in una fase embrionale.
Il secondo cluster (thight passive) ha identificato alcune similarità tra Lituania e Polonia: sono paesi che,
sebbene abbiano delle possibilità di migliorare l’implementazione dell’ERM, sono molto prudenziali e
attaccati alla regolamentazione.
Il terzo cluster (loose passive) accomuna Paesi di civil law con sistemi regolamentari e condizioni
economiche molto simili: sono paesi generalmente follower.
Il quarto cluster (thight aggressive) contiene Norvegia e Svezia: essi sono dei follower molto ravvicinati
rispetto ai loose aggressive.
Il quinto cluster (loose aggressive) essi mostrano una tendenza all’overload, e sono i Paesi che per primi
hanno fatto una mossa verso l’adozione dei sistemi di risk management.

A valle della ricerca occorre fare delle considerazioni: spesso la gestione del rischio non si è evoluta in ERM,
in quanto una molteplicità di modelli e approcci sono stati applicati senza cercare di renderli coerenti e
olistici. Un limite importante è stato la tendenza a considerare l'ERM come l'ennesimo mezzo di controllo,
relegandolo quindi nell'ambito dei controlli interni e dell'audit interno. Ciò ha comportato un aumento
degli sforzi di controllo, che, tuttavia, è stato totalmente distaccato dalla pianificazione, valutazione e
gestione. Inoltre, questo tipo di impostazione ha prodotto un proliferare di informazioni relative al rischio,
basate su soddisfare le richieste di accountability. Tuttavia, l’accountability è confusionaria, dato che non è
chiaro qual è il suo scopo, per chi deve essere garantito e come adempiere agli obblighi di rendicontazione.
Eppure, in ogni caso, questa fretta di apparire responsabili non ha favorito una migliore amministrazione,
principalmente perché le questioni relative alla contabilizzazione dei rischi sono ancora poco trascurate.
La proposta è quella di rimuovere l'ERM dal sistema di controllo interno e di alzare la sua posizione al rango
di un corpus indipendente di "Enterprise Risk Management Accounting". La contabilità della gestione del
rischio d'impresa deve servire a tutti i ruoli in cui vi è la necessità di misurare i rischi, così come la
contabilità svolge tutti i ruoli in cui sono necessarie informazioni finanziarie e non finanziarie. I regolatori
devono stabilire norme chiare non solo su cosa sia la gestione del rischio e come dovrebbe essere attuate
nei processi di governance, ma anche sui requisiti per l'adozione degli stessi da parte degli enti dispositivi
 32

tecnici. Come regolatori stabiliscono le norme precise in materia di contabilità (ad esempio, con riferimento
ai criteri di stima dei costi e dei benefici finanziari) devono definire anche le norme precise di gestione del
rischio d'impresa? Questo rimane un settore aperto ad ulteriori ricerche e strettamente legato all'impegno
quotidiano dei professionisti e i responsabili politici.